“完全没有想到现场会是这样的状况。”1月22日下午,一位业界人士在参加安全专家刘旭举行的Vista存在重大隐患的通报会后如是说,“专家所称的Vista漏洞,我表示怀疑。”
事实上,在22日下午举行的Vista存在重大隐患的“通报会”上,安全专家刘旭受到了来自数十位业界人士的反复提问和质疑,会场一度出现混乱局面。
在看完Vista存在重大隐患演示后,众多人士和刘旭进行了反复的讨论。
安全专家刘旭称,微软即将发布的下一代操作系统Windows Vista存在恶意程序可伪造用户令牌的重大安全隐患。刘旭详细解释和演示了“Vista的重大隐患”过程。
据其介绍,在Windows XP中,用户在登录系统时,系统为用户生成一个访问令牌。当用户需要运行程序或访问资源时,系统首先会从用户的访问令牌找到用户的权限信息,然后和想要进行的操作所需要具有的权限进行比较,如果权限足够大,就可以进行相应的操作;而如果权限不足,操作会被禁止。Windows XP提供创建非管理员账户,但是用户使用起来非常不方便,因此,绝大多数用户日常使用的是对计算机有绝对控制权的管理员账户。这样固然省事、方便,但是,恶意程序和病毒也可以对系统为所欲为。
刘旭称,为提高系统安全性,微软在Windows Vista中引进UAC(用户账户控制)新技术,它依照安全领域普遍遵循的“最小权限”原则,要求所有用户以标准用户模式运行,虽然我们还可以使用管理员账户登录系统,不过,这只是受控的管理员。除非明确行使管理员权限,否则用户运行程序时,程序所得到的权限只相当一般用户权限,不能对关键的系统设置进行修改,因此,即使恶意程序或病毒侵入,也不会对系统造成太大威胁。UAC就像在系统和恶意程序间建立了一个隔离保护墙,从而极大地提高了系统的安全性。
刘旭在演示过程中指出,Vista存在可仿冒“访问令牌”的重大安全漏洞。利用这个漏洞,当用户以管理(administrator user) 、一般用户(standard user)甚至权限很低的访客用户(guest user)登陆系统时,恶意程序可通过伪造的访问令牌替换系统生成的令牌,将用户的权限自动提升为具有绝对控制权的超级管理员(full administrator user)权限,即不论什么类型的用户,是本地登录还是远程登录,都自动成为超级管理员,系统所运行的任何一个程序都自动具有了管理员权限,从而完全绕过了UAC,使UAC形同虚设。这时的Vista就同Windows XP一样,用户面临了易遭受病毒、黑客攻击的风险。
经过刘旭一个小时的解释和演示,在场的数位专家和业界人士均提出了质疑。主要围绕对于其演示的是否属于“Vista漏洞”和其“漏洞说”的动机。对此,刘旭称,发表这样的看法有两个原因。“作为安全专家和企业,有责任共同完善Vista系统,这也是对用户负责的一种态度。另一方面,我们想证明我们不比国外的技术差,我们有能力发现微软的漏洞。”
一位业界人士表示:“从目前微软的反应来看,微软不会认为这是漏洞,同时也不会更改Vista的上市期限。”据国外媒体报道,微软日前表示,新一代操作系统WindowsVista个人版将于本月30日上市。
微软中国在接受搜狐IT咨询时表示:“我们已经知晓了他提供的所谓Vista漏洞的信件,但其实那不是漏洞,只是一个权限的问题,我们正在积极的和刘旭进行沟通和交流。”
关于UAC:
UAC(User Account Control : 用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止标准用户进行不当的系统设置改变
- 相关阅读:
- ·APP少不是问题!微软说安卓有的WP也有
//news.zol.com.cn/553/5533478.html - ·遭质疑 你的Apple Watch运动读数准吗?
//news.zol.com.cn/547/5479349.html - ·雅虎CEO与投资人蜜月期结束 能力遭质疑
//news.zol.com.cn/547/5470036.html - ·微软IE再现安全漏洞 各版本升级后可修复
//news.zol.com.cn/536/5362808.html - ·头颅移植遭质疑 动物实验大多未成功
//news.zol.com.cn/508/5089835.html